LastPass Customer Data Exposed in Klue Supply Chain Attack
2026/06/23 CyberSecurityNews — LastPass が公表したのは、サードパーティ・ベンダーである Klue を巻き込んだサプライチェーン・セキュリティ・インシデントに関する情報である。このインシデントにより、同社の Salesforce 環境内にある、顧客データへの不正アクセスが発生していたことが明らかになった。その一方で同社は、この侵害が中核インフラおよび顧客のパスワード・ボールト (vault)に影響していないことを確認している。ただし、このインシデントが浮き彫りにするのは、SaaS 連携および OAuth トークンの管理に伴う継続的なリスクである。

Go-to-Market チームが利用する市場インテリジェンス・プラットフォーム Klue における不審な活動について、2026年6月12日に LastPass が通知を受けたことで、このインシデントが発覚した。Klue は Salesforce や Gong などのエンタープライズ・ツールと連携しており、システム間のデータ同期を可能にするものである。
LastPass の顧客データが露出
開示された情報によると、複数の顧客向けに Klue が保存していた OAuth トークンが脅威アクターにより取得されたが、その中に LastPass も含まれていた。
脅威アクターは盗み出した OAuth トークンを介して、LastPass の Salesforce インスタンス内の CRM データへアクセスし、サービス間で信頼された API ベースの認証メカニズムを悪用することで従来のログイン制御をバイパスした。
このケースにおける攻撃者は、有効なトークンの悪用によりユーザー認証情報をバイパスしてデータへアクセスしている。それが示すのは、サプライチェーン攻撃において、トークン・ベースの信頼関係の悪用が増加している現状である。
LastPass が明らかにしているのは、この情報漏洩が Klue に接続されたシステムのみに限定されていたことであり、同社の主力製品/内部インフラ/顧客のパスワード・ボールトは影響を受けていない。
さらに、侵入の期間中に Gong システムのデータへのアクセスの証拠は確認されておらず、漏洩したデータに含まれるのは、一般的なビジネス連絡先情報および CRM 関連情報だとされる。そこに含まれるものとしては、顧客名/メールアドレス/電話番号/住所に加え、サポート・ケースの詳細および営業関連の記録などがあるが、機密性の高い認証データは露出していない。
ただし、これらの情報は、標的型フィッシングやソーシャル・エンジニアリング攻撃に悪用される可能性がある。
この不正アクセスを検知した後に LastPass は、直ちにインシデント対応プロセスを開始し、従業員による Klue への全アクセスを無効化した。それに加えて、露出した API および OAuth トークンを更新し、Klue および Salesforce と共同調査を開始した。また、法執行機関への通報も完了している。
さらに LastPass は、Threat Intelligence, Mitigation, and Escalation (TIME) チームが脅威インテリジェンスを共有し、この攻撃キャンペーンを阻止するために広範なセキュリティ・コミュニティと積極的に連携していると説明した。
この種のインシデントのリスクを低減するために、同社は追加の安全対策も実装しており、特にサードパーティ統合およびトークン・セキュリティ管理に重点を置いている。具体的には、監視メカニズムの強化や、接続済みプラットフォーム全体におけるアクセス依存関係の見直しが含まれる。
また、LastPass は、攻撃者が露出した連絡先情報を悪用する可能性があるとして、ユーザーに対し不審な連絡や心当たりのない連絡に注意するよう勧告している。
LastPass が改めて強調するのは、ユーザーに対してマスター・パスワードを要求することは決してない点である。すべての連絡については、公式サポート・チャネルを通じて確認するようユーザーに呼びかけている。
調査の一環として、複数の侵害の指標が特定されている。この活動に関連する不審な IP アドレスには、138.226.246[.]94/94.154.32[.]160/159.183.215[.]61/159.183.181[.]239 が含まれる。また、関連する活動で確認された悪意のメール送信元ドメインには、baccarat.com[.]au/robinskitchen.com[.]au/house.com[.]au が含まれる。ユーザーには、これらの指標の監視が推奨される。
注:IP アドレスおよびドメインは、意図しない名前解決やハイパーリンク化を防ぐため意図的に無害化されている (例:[.])。再度有効化する作業は、MISP/VirusTotal/SIEM などの管理された脅威インテリジェンス・プラットフォーム内に限定すべきである。
訳者後書:今回のインシデントは、サードパーティのプラットフォームに保存されていた、OAuth トークンが攻撃者に取得されたことに起因します。この有効なトークンを悪用する攻撃者は、ユーザー名やパスワードといった通常のログイン認証の手続きを経ることなく、連携していた Salesforce 環境のデータへ直接アクセスしました。システム間を同期するための、API ベースの認証メカニズムがバイパスされたことが問題の本質です。ID やパスワードによる従来の守りだけでなく、トークンを用いた信頼関係そのものが狙われたという構造になっています。よろしければ、LastPass での検索結果も、ご参照ください。
You must be logged in to post a comment.